NetEye银行网络安全解决方案
(《计算机世界》 2002/08/12 第30期 《信息安全产品导购》*专刊*-成功案例-*推荐* 原文见这里)
银行网络的风险分析
??现阶段,银行网络系统几乎没有其他安全措施,就目前的网络结构而言,银行网络系统存在的安全风险有以下几种:
1. 缺乏安全认证手段。银行各系统的登录及远程操作目前的安全手段是用户的帐号与密码,缺乏有效的安全认证手段,一旦密码被盗用,就可以轻而易举地进入银行的业务系统。
2. 外联网络缺乏安全防护。各银行与外单位联网大都是和内部网络共用同一设备,内外网络之间缺乏清晰的界限和隔离手段,这是非常大的安全隐患。
3. 业务系统间缺乏有效的访问控制措施。银行的各业务系统虽然在逻辑上相互隔离,但一般是共用一个物理网络,没有有效隔离,存在安全隐患。
4. 缺乏安全审计及监控机制。对于银行内部员工的违规操作和恶意侵入没有有效的监控机制。
5. 黑客攻击。很多银行已经开始或即将开始为客户提供网上信息服务和网上银行业务服务,电子商务的发展要求银行提供网上支付服务,外部黑客会成绩而入,通过Internet对系统进行攻击。
总结起来,上述风险主要存在于四个安全管理层面:物理安全、网络安全、信息安全和用户安全,如下图所示:
NetEye应用案例
??针对银行网络的特点,东软股份自行开发了,具有自主版权的一系列网络安全产品,如NetEye防火墙和NetEye IDS网络入侵检测系统。NetEye防火墙3.1是NetEye防火墙系列中的最新版本,该系统在性能,可靠性,管理性等方面较NetEye防火墙3.0大大提高,达到了运营级的水准。东软NetEye IDS 2.0利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图。
??下面以某银行为例,介绍东软NetEye网络安全产品在银行的实际应用。在该案例中,银行网络系统的应用环境如下:
1. 省行和多个地市分行分别通过DNN、FR、X.25及其他通讯手段连接,互联方式主要采用TCP/IP;
2. 全辖各行通过总行的Internet出口访问Internet,进行Web浏览、收发Email、FTP等应用;
3. 由于业务需要,省行(及下辖各地市行)与同城的其他机构采用TCP/IP进行互联;
4. 省分行有基于TCP/IP的业务系统;
5. 省市行计算机系统设备多;
6. 全辖范围内的WAN互联速率从19.2kbps到256kbps;
7. 在广域网上传输的数据部分使用了应用层的加密技术;
??在该应用方案中,所有DDN连接的地方都设置了NetEye防火墙,对各个DDN连接的IP数据流进行过滤,并且省行的防火墙和地市、县行的防火墙之间建立VPN加密隧道,以保证数据传递的安全。NetEye3.1防火墙在流过滤平台基础上,进行应用级插件升级、各种攻击方式的及时响应和升级,动态保护网络安全,有效保证以后的升级及扩展。
图 NetEye安全产品在银行系统中的应用
??内部网的主要二层交换机上都连接了NetEye IDS 2.0,以帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高信息安全基础结构的完整性。
< 解决内外网络边界安全,防止外部攻击,保护内部网络;
2. 根据IP地址、协议类型、端口等进行数据包过滤;
3. 双向NAT功能,保护了内网地址;
4. 通过IP与MAC地址绑定防止IP盗用;
5. 防止IP欺骗和防DoS攻击;
6. URL过滤、SMTP过滤;
7. 用户身份鉴别;
8. 具有自身保护能力,可防范对防火墙的常见攻击;
9. 网络实时监控;
10. 多播协议的应用;
11. VLAN Trunk;
12. 审计功能;
13. VPN功能,支持IPSec、IKE等标准协议的加密隧道保证了数据的安全产传输。
14. FTP过滤功能,防火墙的双机热备,主从防火墙在1秒钟完成切换,并且FTP连接不断,保证了银行数据传递中的数据一致。
15. 网桥模式和路由模式,使最小的改动原有网络结构的情况下,提供同等的安全
保护。
NetEye IDS2.0实现了下列功能:
1. 协议内容恢复功能
?·TTP通信内容恢复;
?·POP3或SMTP协议内容恢复;
?·TELENT协议内容回放;
?·应用协议数据量比例图。
2. 击与入侵监测功能
?·攻击事件查询;
?·查询历史攻击事件;
?·分析攻击者的行为;
?·实时报警:实时对异常事件做出报警和响应。
3. 报表功能
4. 实时网络监控功能
?·实时连接监控;
?·实时网络流量监控;
?·网络嗅探器。
5. 历史连接察看。
6. 网络端口扫描器。
小结
??网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。
2. 根据IP地址、协议类型、端口等进行数据包过滤;
3. 双向NAT功能,保护了内网地址;
4. 通过IP与MAC地址绑定防止IP盗用;
5. 防止IP欺骗和防DoS攻击;
6. URL过滤、SMTP过滤;
7. 用户身份鉴别;
8. 具有自身保护能力,可防范对防火墙的常见攻击;
9. 网络实时监控;
10. 多播协议的应用;
11. VLAN Trunk;
12. 审计功能;
13. VPN功能,支持IPSec、IKE等标准协议的加密隧道保证了数据的安全产传输。
14. FTP过滤功能,防火墙的双机热备,主从防火墙在1秒钟完成切换,并且FTP连接不断,保证了银行数据传递中的数据一致。
15. 网桥模式和路由模式,使最小的改动原有网络结构的情况下,提供同等的安全
保护。
NetEye IDS2.0实现了下列功能:
1. 协议内容恢复功能
?·TTP通信内容恢复;
?·POP3或SMTP协议内容恢复;
?·TELENT协议内容回放;
?·应用协议数据量比例图。
2. 击与入侵监测功能
?·攻击事件查询;
?·查询历史攻击事件;
?·分析攻击者的行为;
?·实时报警:实时对异常事件做出报警和响应。
3. 报表功能
4. 实时网络监控功能
?·实时连接监控;
?·实时网络流量监控;
?·网络嗅探器。
5. 历史连接察看。
6. 网络端口扫描器。
小结
??网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。